问题描述
我们有一个 Web 应用程序,它运行在带有 IIS 的 Windows 服务器上的端口 80 和 443 上。
其他一切都被锁定。带 VPN 的物理防火墙。
(这里我们使用了恶意软件字节,但如果可能的话,我希望能够为多个服务器提供中央报告)
它们看起来像是一种恶意软件,如果您点击了错误链接,您会收到警告,但在这种情况下,它们会在您没有点击任何内容的情况下进入。
解决方法
据我所知,通过配置保护iis web服务器的方法有很多种,例如:
1.使用端到端加密
- 如果您的网站前面有反向代理和/或负载平衡器 服务器,更喜欢使用 SSL 桥接而不是 SSL 卸载
- 禁用比 TLS 1.2 旧的 SSL/TLS 版本
- 禁用弱密码套装
- SSL/TLS 和密码套装设置是服务器范围的设置,而 IIS 支持操作系统支持的任何内容。但是,对于 .NET 应用程序 查看以下文章:
.NET Framework 的传输层安全 (TLS) 最佳实践:
https://docs.microsoft.com/en-us/dotnet/framework/network-programming/tls
2.配置“请求过滤”:
-
“允许未列出的文件扩展名”:取消选中(仅允许您将使用的扩展名;添加“.”以允许无扩展名请求)
-
“允许未列出的动词”:取消选中(仅允许您将使用的动词)
-
尽可能降低“请求限制”
请求过滤
https://docs.microsoft.com/en-us/iis/configuration/system.webserver/security/requestfiltering/
3. 删除标识服务器和应用程序的 HTTP 标头。这些标头被认为会导致安全漏洞:
- removeServerHeader
- 删除不需要的 HTTP 响应标头
有关更多方法,您可以参考此链接:https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/iis-best-practices/ba-p/1241577